Infecté par le virus "google redirect" Résolu/Fermé

Question

Bonjour à  tous! 

Depuis une semaine mes recherches sur google sont aléatoirement (pas tout le temps) redirigées vers des d'autres "moteurs" bidons, des pubs, etc. J'ai essayé énormément de techniques (hitman pro 3, TDSS Killer, etc...) mais rien n'y a fait. Je me résouds donc à vous faire par de mon problème... voici le log Hijackthis que je viens d'obtenir. Je suis bloqué à partir de là ne sachant pas comment tirer bénéfice de ce rapport...

Merci infiniment d'avance pour votre aide! N'hésitez surtout pas à me demander d'autres scans etc, que ce soit sur hijackthis ou d'autres programme, je suivrai la démarche que vous me proposerez.

PS: je suis actuellement aux USA, donc excusez-moi si je réponds avec un certain "décalage horaire"!

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 02:34:49, on 01/10/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Acer\Acer VCM\RS_Service.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Trend Micro\HiJackThis\HiJackThis.exe
C:\Program Files\Mozilla Firefox\firefox.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0411&s=0&o=xph&d=0209&m=aspire_one
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0411&s=0&o=xph&d=0209&m=aspire_one
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0411&s=0&o=xph&d=0209&m=aspire_one
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = ???
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live ????? ???? - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O9 - Extra button: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32
wprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CEA466B-F633-4111-9C92-D9DCB0BB8931}: NameServer = 212.27.40.240,212.27.40.241
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~1\wl_hook.dll
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Raw Socket Service (RS_Service) - Acer Incorporated - C:\Program Files\Acer\Acer VCM\RS_Service.exe

securywebs · Answer

LIEN ORIGINALE:
https://www.brighthub.com/internet/google/articles/66090.aspx/

TRADUCTION FRANCAIS (PIETRE QUALITÉ):
http://translate.google.ca/...

Bonne chance!

Chris

g3n-h@ckm@n · Answer

salut....ridicule...

hitman Pro , là , t'as pas fait fort !!!

desinstalle-le si tu peux , il sert à rien , voire inefficace.....d'ailleurs inefficace tout court.

si infection il y a on va la degotter vite-fait ^^

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
%systemroot%\system32\*.dll
%systemroot%\system32\Drivers\* 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

DemonKlyd · Answer

merci pour les réponses!

OK pour OTL, et le fichier config_OTL, mais ce dernier ne marche pas quand je l'associe à OTL.exe (une sorte de player se lance, avec un bouton lecture, etc, mais rien...). Une idée?

g3n-h@ckm@n · Answer

bah normalement le lecteur te signale la config à respecter sinon au pire , execute tel-quel

DemonKlyd · Answer

j'ai juste changé: "tous les utilisateurs" (à présent coché)

je lance ça à plus tard!

g3n-h@ckm@n · Answer

super impec !! c'est le plus iportant !!

DemonKlyd · Answer

le scan vient de se finir, et j'ai eu... deux fichiers textes vierges d'ouvert, et rien sur le bureau. Une idée? :/

MAJ: j'ai retesté, mais cette fois en rapide, et le message d'erreur que j'ai m'indique qu'il y a une erreur au niveau du nom du fichier, du nom du répertoire et le volume désigné. Y'a-t-il moyen de changer l'adresse de destination à laquelle sont enregistrées les logs? Par exemple, mes documents au lieu du bureau, etc. Mon PC est un Netbook avec windows xp (officiel/légal), version japonais (netbook acheté au Japon...).

g3n-h@ckm@n · Answer

mmmmmmmmmmmmmm.......... alors le souci est là :

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

DemonKlyd · Answer

merci infiniment pour ta réactivité, voici le log de TDSS (aucune menace détectée) hébergé sur cijoint

http://www.cijoint.fr/cjlink.php?file=cj201110/cijJfRu6L0.txt

g3n-h@ckm@n · Answer

c'est quoi ce truc-là ?

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\DRIVERS\l1e51x86.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

DemonKlyd · Answer

sans le scanner je peux te répondre, c'est un fichier lié à ma carte réseau "Atheros", mais je vais le scanner tout de même. Merci!

EDIT: voila le lien!
http://www.virustotal.com/file-scan/report.html?id=416d691c32fbe19043326d7c1abf94b12d6ef07ee83d59a5e8e8782672b68616-1317437161

g3n-h@ckm@n · Answer

donne moi tous les details possibles sur ton souci ?

DemonKlyd · Answer

eh bien pour résumer, de temps à autres lors de mes recherches sur google (autant sur .fr que sur .com) je suis redirigé sur des moteurs "pourris" et que je ne connais même pas du genre "get-your-answer je sais plus quoi", ou une URL commençant par une IP. Il semblerait que ce soit tous des sites malveillants... En faisant des tests (par exemple je tape "pcinpact", même si l'url est dans mes favoris, c'est juste pour tester) disons une fois sur 6 je serai redirigé sur un site poubelle. Hier soir, cela m'arrivait quasiment à chaque fois... Cela est arrivé après l'installation d'iTunes la semaine dernière, le fichier "appleupdt32.exe" ou un truc du genre me posait problème dans les processus actif. Hitman pro m'y a trouvé un trojan dedans, et me l'a (supposément) supprimé puisque l'exécutable n'est plus sur mon pc (en plus j'ai désinstallé itunes cet après-midi). 

Voilà, donc vu que ce virus à l'air de craindre au vue des cas sur le net que j'ai pu voir (pouvant apparemment tauper des infos perso sur mon pc en tant que trojan), j'aimerais le virer au plus vite... Sans parler du fait que mon PC rame bien plus qu'avant depuis quelques jours!  

PS: mon log hijackthis est-il inutile dans mon premier post? je sais que hijack est un ancêtre mais bon... sait-on jamais! à défaut de pouvoir avoir un log OTL.

PS2: Aussi, certaines fois, comme en ce moment, j'ai deux "rundll32.exe" en cours, et impossible de les virer, car ils reviennent aussitôt (je ne les avais pas il y a quelques jours)

g3n-h@ckm@n · Answer

actuellement , hitman pro est toujours présent ?

DemonKlyd · Answer

non je l'ai viré après ce que tu m'as dit

g3n-h@ckm@n · Answer

fais une recherche sur OTL.txt sur ton ordi via la touche F3

trouve-t-il le log ?

DemonKlyd · Answer

c'est fait; aucun log trouvé...

g3n-h@ckm@n · Answer

remets-moi un nouveau scan OTL via cijoint .fr stp ?

DemonKlyd · Answer

ça y est! j'ai réussi à avoir un log OTL! j'ai juste eu à déplacer OTL.exe de mon bureau vers mes documents, et ça marche! Par contre, ça n'est qu'une "analyse rapide", étant donné que je vais me coucher... demain je fais une complète que je posterai, si nécessaire. En attendant, voici la version rapide que je viens de faire:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijdqA6H2m.txt

g3n-h@ckm@n · Answer

pas joli-joli....

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

DemonKlyd · Answer

ok je te fais confiance je suivrai tes instructions concernant combofix. Cependant, devrais-je aussi couper le net pendant l'exécution du programme?

DemonKlyd · Answer

voilà c'est fait; voici le rapport de combofix:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijvMj8Odd.txt

DemonKlyd · Answer

salut! quelques infos intéressantes au sujet du log combofix? j'attends de tes (vos) nouvelles! Merci encore pour ton aide jusqu'à présent !

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: File:: c:\windows\system32\LnkProtect.dll c:\windows\winstart.bat c:\documents and settings\All Users\Application Data\DIRECTXONLINEPOLICY.DLL.del c:\windows\system32\drivers\98864912.sys Folder:: c:\documents and settings\All Users\Application Data\Hitman Pro Driver:: 98864912 ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

DemonKlyd · Answer

alors, j'ai fait glissé/déposé le fichier que tu m'as dit de créer sur le fichier combofix (portant mon nom comme tu me l'avais indiqué dans un post précédent, soit "Quentin.exe", comme ma session), et après s'etre réinstallé (?) combofix a lancé le scan normalement. Je n'ai pas vu de différence avec la derniere fois... mais qui sait ce log pourra peut-être le dire:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijBw3VMEu.txt

merci pour tout!

g3n-h@ckm@n · Answer

ca veut dire que tu n'as rien collé dans le CFScript

DemonKlyd · Answer

si si, collé et enregistré, j'ai d'ailleurs encore le fichier .txt sur mon bureau... ou alors tu ne m'as pas donné la bonne méthode. Le log est-il révélateur ou non au moins?

g3n-h@ckm@n · Answer

tu ne devrais plus l'avoir sur le bureau Combofix aurait du le "manger"

DemonKlyd · Answer

ok c'est bon, il fallait simplement que je le fasse depuis "mes documents", sinon, tout comme OTL, ça n'aurait pas marché depuis le bureau. Et en effet, le fichier texte a disparu. Voici le nouveau rapport, avec en effet des fichiers supprimés:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijqq0tSax.txt

g3n-h@ckm@n · Answer

toujours des redirections ?

DemonKlyd · Answer

Pour l'instant non, aucune, j'ai essayé quelques recherches (une dizaine différente) sur google.com, pas de redirection. Mais comment savoir je suis bien "désinfecté"? (je veux dire, à part le fait que je ne sois plus redirigé -jusqu'à présent-). Ce virus est vraiment pas commun, c'est ce que je retiens, et je pense faire gaffe quand j'installerai un prog dorénavant qu'il me refourgue pas ses bannière etc... (ask.com... tous ces trucs)

g3n-h@ckm@n · Answer

tu peux supprimer ceci ?

c:\windows\system32\drivers\hitmanpro35.sys

DemonKlyd · Answer

fait! autre chose? un autre conseil?

g3n-h@ckm@n · Answer

refais un scan OTL stp

DemonKlyd · Answer

Avec plaisir; même paramètres que la dernière fois? (avec rajout de lignes de commande dans "personnalisation"?)

g3n-h@ckm@n · Answer

non juste sans le rajout

DemonKlyd · Answer

bon j'ai refait un scan complet (lancé avant ton post, donc avec rajout), voici les deux .txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijgXNQWuw.txt

http://www.cijoint.fr/cjlink.php?file=cj201110/cijbPcMQN7.txt

g3n-h@ckm@n · Answer

t'as des restes de rogue

on va virer ca :

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

si le lien ne fonctionne pas :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

DemonKlyd · Answer

le prog se lance sans pb, puis en plein milieu du scan, écran bleu... "IRQL_NOT_LESS_OR_EQUAL"

:s en plus ça me rajoute une icone "my network" sur le bureau alors que j'ai rien demandé, et ça me réactive le centre de sécurité de m**** à chaque boot alors que je désactive son lancement en manuel.

g3n-h@ckm@n · Answer

pourquoi tu desactives le centre de securité ???????

DemonKlyd · Answer

sûrement parce que j'ai déjà un vrai firewall d'installé, antivir et un VPN, et que mon netbook n'a pas besoin d'être pollué par un centre de sécurité dont tous les outils sont désactivés (et qui par conséquent se sent obligé de me rappeler régulièrement que "attention firewall windows désactivé, etc... patatipatata" dès que son processus est autorisé !!!!?? Je le désactive donc depuis l'outils de gestion des services. En ce qui concerne les màj windows, je les fais manuellement. Par contre, j'ai du mal à voir le rapport avec le virus google redirect? Et ça ne m'explique pas l'écran bleu (le premier sur ce pc depuis son achat il y a 3 ans) que ton prog m'a causé...

g3n-h@ckm@n · Answer

si tu n'as pas besoin d'un centre de securité tu n'as pas besoin d'etre desinfecté...dans ce cas...au moindre probleme tu n'es pas averti et ton pc devient un gruyere

de plus antivir ne vaut plus grand chose à l'heure actuelle....

DemonKlyd · Answer

le truc c'est que ce "virus" a été involontairement installé par moi-même avec un autre programme, donc même avec le meilleur antivirus du monde, à partir du moment où c'est l'usager qui valide y'a plus rien à faire... Et quelqu'un qui prône l'utilisation du centre de sécurité windows... juste "wow", il m'a fallu attendre 2011 pour trouver cette personne. hum.

Par ailleurs, si antivir était si mauvais, il aurait été incapable de me trouver 3 virus hier après un scan complet. En effet, je me suis rendu compte que j'étais en version 9 (je suis complètement en faute sur ce coup-là), j'ai donc de suite installé la version 10 et ses mises à jour, et là comme par hasard il me trouve 3 virus... TR/Dldr.Tracur.AF.87, TR/Dldr.Tracur.AF.71 et SPR/Tool.Hardoff.A

Tous supprimés.

Conclusion, antivir ne "vaut peut-être plus grand chose" comme tu dis, mais lui au moins à fait quelque chose de concret, contrairement à tes programmes de scan... (dont un qui a fait planté le PC comme c'était jamais arrivé).

Je préfère donc te remercier pour ce que tu as fait pour moi et définir ce problème comme étant résolu, car là on va vite tourner en rond...

Merci pour tout donc! :)

g3n-h@ckm@n · Answer

ok à bientot. 

reste à savoir où ont ete trouvées les infections tracur.... 

en attendant antivir n'empechait pas les redirections et mes outils , si !! ^^
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Infecté par le virus "google redirect"

44 réponses

Discussions similaires